新生銀行ユーザーをねらったフィッシングが発生しているらしい。
セキュアブレイン、新生銀行を騙るフィッシングサイトが
多数出現しているとして注意を喚起
ちょうど新生銀行は、旧来のID・PASSのようなログイン方式から、新たに導入したセキュリティカード上に記載された乱数の入力が必要になる方式へシステム切り替えが進んでおり、その機会に乗じたフィッシングと言える。
で、問題はここから。
新生銀行ユーザーにとって、カードが郵送されることは知っていたとしても、郵送されたカードが本物であるかどうかは、判別のしようがない。
仮に悪意を持った人間が、本物のセキュリティカードが届く前に偽のカードを用意して配布し、本来のサイトとは違うサイトに誘導を行い、フィッシングを行ったらどうなるか。
偽のカードと知らずに利用をしようとした場合、次の二つのパターンが考えられる。
(1)正規のサイトにアクセスを行う。偽のセキュリティカードで認証が通らず、認証が完了しないが、実害はない。
(カードが偽であるかどうか気がつくかは別問題として)
(2)偽のセキュリティカードに書かれた偽のサイトにアクセスして、ログインを行う場合、ID・PASSが漏洩する。
手元に届いた、『おそらく正しいであろう』カードが正規の機関によって発行されたものであるかどうかを判断するのは、ユーザーにとって非常に難しい。
(なぜならユーザーにとっては『何が正しいのか』という絶対的な基準がない。)
実際にはもっとコストのかからない、メール+Webという手法がとられているけれど、郵送で本物らしいカードでも届いていたら、とりあえずカードが偽物かは判別できないだろうな。
(今回、新生銀行から届いたセキュリティカードも、普通郵便で届いたしなぁ…。)
セキュリティを保つために有効な方法は、案外アナログなものなのかもしれない。例えば窓口でのカード渡しとか。。。